实验目的：
通过实验掌握Windows账户与密码的安全设置、文件系统的保护和加密、安全策略与安全模版的使用、审核和日志的启用，建立一个Windows操作系统的基本安全框架。
实验环境：
Windows XP
实验工具
无
实验步骤
1、删除不再使用的账户，禁用guest账户。

2、右击“开始”按钮，选择“控制面板”中的“用户账户”项，如图；

在弹出的对话框中选择从列出的用户里删除不需要的账户。

删除了没用的asd用户，删除之后只剩一个有用的Administrator、root和Guest。

3、右键单击“我的电脑”，选择“管理”选项，并打开“系统工具\本地用户和组\用户”。

4、右键单击guest用户，选择“属性”，在弹出的对话框中“账户已停用”一栏前打勾；确定后，guest前的图标上会出现一个红色的叉，此时账户被禁用。

5、账户策略是Windows账户管理的重要工具。

6、打开“控制面板”→“管理工具”→“经典试图”→“本地安全设置”，选择“账户策略”下的“密码策略”。

7、其中，符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊字符的序列。双击其中每一项，可按照需要改变密码特殊的设置。

8、双击“密码密码必须符合复杂性要求”，选择“启用”。

9、双击上图中的“密码长度最小值”；在弹出的对话框中可设置可被系统接纳的账户密码长度最小值。一般为达到较高安全性，密码长度最小值为8。

10、双击“密码最长存留期”，在对话框中设置系统要求的账户密码的最长使用期限为42天。设置密码自动保留期，用来提醒用户定期修改密码，防止密码使用时间过长带来的安全问题。

11、双击“密码最短保留期”，设置密码最短存留期为7天。在密码最短保留期内用户不能修改密码，避免入侵的攻击者修改帐户密码。

12、双击“强制密码历史”和“为域中所有用户使用可还原的加密存储密码”，在相继弹出的类似对话框中，设置让系统记住的密码数量和是否设置加密存储密码。

13、至此，密码策略设置完成。

14、开机时设置为“不自动显示上次登录”。

15、Windows默认设置为开机时自动显示上次登录的帐户名，许多用户也采用了这一设置。这对系统来说是很不安全的，攻击者会从本地或Terminal Service的登录界面看到用户名。继续在本地安全设置中，打开“本地策略\安全选项”，选中“交互式登录：不显示上次的用户”，将其设置为已启用。

16、为了便于远程用户共享本地文件，Windows默认设置远程用户可以通过空连接枚举出所有本地帐户名，这给了攻击者可乘之机。要禁用枚举账户名，执行下列操作：

17、打开“本地安全策略”项，选择“本地策略”中的“安全选项”，选择“不允许枚举SAM账户和共享的匿名枚举”。

18、打开磁盘格式为NTFS的磁盘，选择要进行加密的文件，这里选择“C:\text\1.txt”。右击打开“属性”窗口，选择“常规”选项，单击“高级”按钮。选择“加密内容以便保护数据”，单击“确定”。在“加密警告”窗口选择只“加密文件”

19、打开控制面板中的“用户账户”，创建一个名为user的新用户，且不要创建为计算机管理员用户,并设置密码。

20、点击“开始”，选择“注销”，登录刚新建的user用户(注意：第一次登录需要修改密码，尽量设置复杂)。在桌面右击-属性-桌面-自定义桌面，可设置显示“我的电脑”

21、在“C:\text”目录下，双击“1.txt”，发现无法打开该文件，说明已经加密。

22、再次切换用户，以原来加密文件夹的管理员账户登录系统。单击“开始”按钮，在“运行”框中输入mmc，打开系统控制台。单击左上角的“文件”按钮，选择“添加∕删除管理单元。

23、在弹出的对话框中选择“添加”，然后找到“证书”，如图，点击“添加”。在弹出的“证书管理单元”对话框中选择“我的用户账户”，然后完成。

24、选中证书，单击右键，在菜单中单击“所有任务”→“导出”，打开“证书导出向导”。

25、点击“下一步”，选择“是，导出私钥”，然后继续点击“下一步”，设置保护私钥的密码。

26、设置要导出的文件的文件名，并设置要导出文件的保存路径，注意一定要保存在C盘，然后完成证书导出。

27、再次切换用户，以新建的USER登录系统，如第⑸、⑹步打开控制台并添加证书，然后选中个人，会发现跟第⑺步不同的是右边没有证书。右键点击个人，选择“所有任务”→“导入”。

28、在私钥地址浏览中，打开C盘，选择“文件类型”的“所有文件”，然后打开siyue，如图。指定文件后点击“下一步”，输入之前设置的密码，继续点击“下一步”，然后完成导入。

29、完成导入后可以再控制台的“个人”栏看见原来没有证书的地方现在已经有了一个新的证书。
30、再次进入C盘，双击加密文件夹中的文件，现在文件可以正常打开。

31、打开“控制面板”中“管理工具”，选择“本地安全设置”。然后打开“本地安全设置”中“本地策略”下的“审核策略”。

32、双击右边的各项目更改，假如我们更改审核账户管理，如图所示，在“成功”和“失败”前面打勾。

33、还是在“控制面板”，“管理工具”里找到“事件查看器”，双击打开。

34、在“事件查看器”里双击“安全性”，可以查看安全事件的具体记录。

35、单击“开始”，选择“运行”按钮，输入mmc，打开系统控制台。

36、单击左上角的“文件”，在弹出的菜单中选择“添加/删除管理单元”，单击“添加”，在弹出的窗口中分别选择“安全模板”“安全配置和分析”，单击“添加”按钮后，关闭窗口，再“确定”。

37、双击左边“控制台根节点”下的“安全模板”，右键单击模板，选择“设置描述”。打开之后可以查看相关信息。

38、右键单击“安全配置与分析”，选择“打开数据库”。输入欲新建安全数据库的名称。单击“打开”，根据计算机准备配置成的安全级别，选择一个安全模板将其导入。

39、右键单击“安全配置与分析”，选择“立即分析计算机”，并设置日志文件路径，如图所示，然后点击确定。系统开始按照上一步中选定的安全模板，以当前系统的安全设置是否符合要求进行分析，分析完毕后可在目录中选择查看各安全设置的分析结果。

40、右键单击，选择“立即配置计算机”，则按照所选择的安全模板的要求对当前系统进行配置。在设置日志路径后点击“确定”。

41、打开“安全模板”，右键单击，选择“新加模板”，在弹出对话框中填入欲新加入模板名称new，在“安全模板描述”中填入“自设模板”。

42、双击new，在显示的安全策略列表中双击“账户策略”，然后继续双击“密码策略”，其中任一项均显示“没有定义”。

43、双击new，在显示的安全策略列表中双击“账户策略”，然后继续双击“密码策略”，其中任一项均显示“没有定义”。

44、依次设定其余项目中的每项安全策略，直至完成安全模板的设置。

45、至此，自设安全模板new创建完毕。

46、实验完毕，关闭虚拟机和所有窗口。